부록 H: 로컬 관리자 계정 및 그룹 보안

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

부록 H: 로컬 관리자 계정 및 그룹 보안

현재 기본 지원에에서는 Windows의 모든 버전에서는 기본적으로 계정을 사용할 수 없게 해시를 전달 및 기타 자격 증명 도난 공격에 대 한 로컬 관리자 계정이 비활성화 되어 있습니다. 그러나 레거시 운영 체제를 포함하거나 로컬 관리istrator 계정을 사용하도록 설정한 환경에서는 이전에 설명한 대로 이러한 계정을 사용하여 멤버 서버 및 워크스테이션 간에 손상이 전파될 수 있습니다. 다음 단계별 지침에 설명된 대로 각 로컬 관리istrator 계정 및 그룹을 보호해야 합니다.

기본 제공 BA(관리istrator) 그룹 보안의 고려 사항에 대한 자세한 내용은 최소 권한 관리시제 모델 구현을 참조하세요.

로컬 관리자 계정에 대 한 제어

포리스트에 있는 각 do기본 로컬 관리istrator 계정의 경우 다음 설정을 구성해야 합니다.

  • 할 일기본 관리사용자 계정의 do기본 가입 시스템 사용을 제한하도록 GPO 구성

    • 각 작업기본 워크스테이션 및 멤버 서버 OU를 만들고 연결하는 하나 이상의 GPO에서 computer Configuration\Policies\Windows 설정\Security 설정\Local Policies\User Rights Assignments의 다음 사용자 권한에 관리istrator 계정을 추가합니다.

      • 네트워크에서 이 컴퓨터 액세스 거부

      • 일괄 작업으로 로그온 거부

      • 서비스로 로그온 거부

      • 원격 데스크톱 서비스를 통한 로그온 거부

로컬 관리istrators 그룹을 보호하기 위한 단계별 지침

Do기본 조인 시스템에서 관리istrator 계정을 제한하도록 GPO 구성

  1. 서버 관리자 도구를 클릭하고 그룹 정책 관리를 클릭합니다.

  2. 콘솔 트리에서 Forest>\Do기본s\<Do기본>를 확장<한 다음 그룹 정책 개체(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본의 이름임).

  3. 콘솔 트리에서 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭합니다.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. 새 GPO 대화 상자에서 GPO 이름을> 입력<하고 확인을 클릭합니다(여기서 <GPO 이름은> 이 GPO의 이름임).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. 세부 정보 창에서 GPO 이름을> 마우스 오른쪽 단추로 클릭하고 <편집을 클릭합니다.

  6. 컴퓨터 구성\정책\Windows 설정\보안 설정\로컬 정책으로 이동하고 사용자 권한 할당을 클릭합니다.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. 다음을 수행하여 로컬 관리istrator 계정이 네트워크를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 네트워크에서 이 컴퓨터에 대한 액세스 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 로컬 관리istrator 계정의 사용자 이름을 입력한 다음 확인을 클릭합니다. 이 사용자 이름은 windows가 설치될 때 기본값인 관리istrator입니다.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. 확인을 클릭합니다.

      Important

      이러한 설정에 관리istrator 계정을 추가하는 경우 계정에 레이블을 지정하는 방법에 따라 로컬 관리istrator 계정 또는 할 일기본 관리 계정을 구성할지 여부를 지정합니다. 예를 들어 TAILSPINTOYS do기본의 관리istrator 계정을 이러한 거부 권한에 추가하려면 TAILSPINTOYS do기본 관리istrator 계정으로 이동하면 TAILSPINTOYS\관리istrator로 표시됩니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 관리istrator를 입력하면 앞에서 설명한 대로 GPO가 적용되는 각 컴퓨터에서 로컬 관리istrator 계정을 제한합니다.

  8. 다음을 수행하여 로컬 관리istrator 계정이 일괄 처리 작업으로 로그온되지 않도록 사용자 권한을 구성합니다.

    1. 일괄 작업으로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 로컬 관리istrator 계정의 사용자 이름을 입력한 다음 확인을 클릭합니다. 이 사용자 이름은 windows가 설치될 때 기본값인 관리istrator입니다.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. 확인을 클릭합니다.

      Important

      이러한 설정에 관리istrator 계정을 추가할 때 계정에 레이블을 지정하는 방법에 따라 로컬 관리istrator 계정 또는 할기본 관리주체 계정을 구성할지 여부를 지정합니다. 예를 들어 TAILSPINTOYS do기본의 관리istrator 계정을 이러한 거부 권한에 추가하려면 TAILSPINTOYS do기본 관리istrator 계정으로 이동하면 TAILSPINTOYS\관리istrator로 표시됩니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 관리istrator를 입력하면 앞에서 설명한 대로 GPO가 적용되는 각 컴퓨터에서 로컬 관리istrator 계정을 제한합니다.

  9. 다음을 수행하여 로컬 관리istrator 계정이 서비스로 로그온하지 못하도록 사용자 권한을 구성합니다.

    1. 서비스로 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 로컬 관리istrator 계정의 사용자 이름을 입력한 다음 확인을 클릭합니다. 이 사용자 이름은 windows가 설치될 때 기본값인 관리istrator입니다.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. 확인을 클릭합니다.

      Important

      이러한 설정에 관리istrator 계정을 추가할 때 계정에 레이블을 지정하는 방법에 따라 로컬 관리istrator 계정 또는 할기본 관리주체 계정을 구성할지 여부를 지정합니다. 예를 들어 TAILSPINTOYS do기본의 관리istrator 계정을 이러한 거부 권한에 추가하려면 TAILSPINTOYS do기본 관리istrator 계정으로 이동하면 TAILSPINTOYS\관리istrator로 표시됩니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 관리istrator를 입력하면 앞에서 설명한 대로 GPO가 적용되는 각 컴퓨터에서 로컬 관리istrator 계정을 제한합니다.

  10. 다음을 수행하여 로컬 관리istrator 계정이 원격 데스크톱 서비스를 통해 멤버 서버 및 워크스테이션에 액세스하지 못하도록 사용자 권한을 구성합니다.

    1. 원격 데스크톱 서비스를 통해 로그온 거부를 두 번 클릭하고 이러한 정책 설정 정의를 선택합니다.

    2. 사용자 또는 그룹 추가를 클릭하고 로컬 관리istrator 계정의 사용자 이름을 입력한 다음 확인을 클릭합니다. 이 사용자 이름은 windows가 설치될 때 기본값인 관리istrator입니다.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. 확인을 클릭합니다.

      Important

      이러한 설정에 관리istrator 계정을 추가할 때 계정에 레이블을 지정하는 방법에 따라 로컬 관리istrator 계정 또는 할기본 관리주체 계정을 구성할지 여부를 지정합니다. 예를 들어 TAILSPINTOYS do기본의 관리istrator 계정을 이러한 거부 권한에 추가하려면 TAILSPINTOYS do기본 관리istrator 계정으로 이동하면 TAILSPINTOYS\관리istrator로 표시됩니다. 그룹 정책 개체 편집기에서 이러한 사용자 권한 설정에 관리istrator를 입력하면 앞에서 설명한 대로 GPO가 적용되는 각 컴퓨터에서 로컬 관리istrator 계정을 제한합니다.

  11. 그룹 정책 관리 편집기를 종료하려면 파일을 클릭하고 끝내기를 클릭합니다.

  12. 그룹 정책 관리에서 다음을 수행하여 GPO를 멤버 서버 및 워크스테이션 OU에 연결합니다.

    1. <포리스트>\Do기본s\<Do기본>(포<리스트>는 포리스트의 이름이고 <Do기본>는 그룹 정책을 설정할 do기본 이름)로 이동합니다.

    2. GPO가 적용될 OU를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결을 클릭합니다.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. 만든 GPO를 선택하고 확인을 클릭합니다.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. 워크스테이션을 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

    5. 멤버 서버를 포함하는 다른 모든 OU에 대한 링크를 만듭니다.

확인 단계

"네트워크에서 이 컴퓨터에 대한 액세스 거부" GPO 설정 확인

GPO 변경 내용(예: 점프 서버)의 영향을 받지 않는 멤버 서버 또는 워크스테이션에서 GPO 변경의 영향을 받는 네트워크를 통해 멤버 서버 또는 워크스테이션에 액세스하려고 시도합니다. GPO 설정을 확인하려면 NET USE 명령을 사용하여 시스템 드라이브를 매핑합니다.

  1. GPO 변경의 영향을 받지 않는 멤버 서버 또는 워크스테이션에 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 명령 프롬프트를 입력하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 클릭하여 관리자 권한 명령 프롬프트를 엽니다.

  4. 권한 상승을 승인를 묻는 메시지가 나타나면 클릭 합니다.

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. 명령 프롬프트 창에서 서버 이름을 입력net use \\<Server Name>\c$ /user:<Server Name>\Administrator합니다. 여기서 <서버 이름은> 네트워크를 통해 액세스하려는 멤버 서버 또는 워크스테이션의 이름입니다.

    참고 항목

    로컬 관리이스트레이터 자격 증명은 네트워크를 통해 액세스하려는 동일한 시스템에서 온 것이어야 합니다.

  6. 다음 스크린샷은 표시되어야 하는 오류 메시지를 보여줍니다.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

GPO 설정 "일괄 작업으로 로그온 거부" 확인

GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

Batch 파일 만들기

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 메모장을 입력하고 메모장 클릭합니다.

  3. 메모장 dir c:를 입력합니다.

  4. 파일을 클릭하고 다른 이름으로 저장을 클릭합니다.

  5. 파일 이름 상자에 파일 이름을 입력 <Filename>.bat 합니다. 여기서 <Filename>은 새 일괄 처리 파일의 이름입니다.

작업 예약

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 작업 스케줄러를 입력하고 작업 스케줄러를 클릭합니다.

    참고 항목

    Windows 8을 실행하는 컴퓨터의 검색 상자에 일정 작업을 입력하고 작업 예약을 클릭합니다.

  3. 작업을 클릭하고 작업 만들기를 클릭합니다.

  4. 작업 만들기 대화 상자에서 작업 이름(작업 <이름은>> 새 작업의 이름)을 입력<합니다.

  5. 작업 탭을 클릭하고 새로 만들기를 클릭합니다.

  6. 작업 필드에서 프로그램 시작을 클릭합니다.

  7. 프로그램/스크립트 필드에서 찾아보기를 클릭하고 Batch 파일 만들기 섹션에서 만든 일괄 처리 파일을 찾아 선택한 다음 열기를 클릭합니다.

  8. 확인을 클릭합니다.

  9. 일반 탭을 클릭합니다.

  10. 보안 옵션 필드에서 사용자 또는 그룹 변경을 클릭합니다.

  11. 시스템의 로컬 관리이스트레이터 계정의 이름을 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

  12. 사용자가 로그온했는지 여부에 관계없이 실행을 선택하고 암호를 저장하지 않습니다. 작업은 로컬 컴퓨터 리소스에만 액세스할 수 있습니다.

  13. 확인을 클릭합니다.

  14. 사용자 계정 자격 증명을 요청하여 작업을 실행하도록 요청하는 대화 상자가 나타납니다.

  15. 자격 증명을 입력한 후 확인을 클릭합니다.

  16. 다음과 유사한 대화 상자가 나타납니다.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

"서비스로 로그온 거부" GPO 설정 확인

  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

  5. 로그온 탭을 클릭합니다.

  6. 로그온 필드에서 이 계정을 클릭합니다.

  7. 찾아보기를 클릭하고 시스템의 로컬 관리istrator 계정을 입력하고 이름 확인을 클릭한 다음 확인을 클릭합니다.

  8. 암호 및 암호 확인 필드에 선택한 계정의 암호를 입력하고 확인을 클릭합니다.

  9. 확인을 세 번 더 클릭합니다.

  10. 스풀러 인쇄를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.

  11. 서비스를 다시 시작하면 다음과 유사한 대화 상자가 나타납니다.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

프린터 스풀러 서비스로 변경 내용 되돌리기

  1. GPO 변경의 영향을 받는 멤버 서버 또는 워크스테이션에서 로컬로 로그온합니다.

  2. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  3. 검색 상자에 서비스를 입력하고 서비스를 클릭합니다.

  4. 인쇄 스풀러를 찾아 두 번 클릭합니다.

  5. 로그온 탭을 클릭합니다.

  6. 로그온: 필드에서 로컬 시스템 계정을 선택하고 확인을 클릭합니다.

"원격 데스크톱 서비스를 통한 로그온 거부" GPO 설정 확인

  1. 마우스를 사용하여 포인터를 화면의 오른쪽 위 또는 오른쪽 아래 모서리로 이동합니다. 참 메뉴 모음이 나타나면 검색을 클릭합니다.

  2. 검색 상자에 원격 데스크톱 연결을 입력하고 원격 데스크톱 커넥트ion을 클릭합니다.

  3. 컴퓨터 필드에 연결할 컴퓨터의 이름을 입력하고 커넥트 클릭합니다. (컴퓨터 이름 대신 IP 주소를 입력할 수도 있습니다.)

  4. 메시지가 표시되면 시스템의 로컬 관리istrator 계정에 대한 자격 증명을 제공합니다.

  5. 다음과 유사한 대화 상자가 나타납니다.

    secure local admin accounts and groups